Magic_Sunny

Wenn die Novell Datenbank per LDAP angebunden wird kann eine TLS Userauthentifizierung durchgeführt werden. Eine Maschinenauthentifizierung mit Computerzertifikat ist nur mithilfe des Odyssey Clients von Funk möglich. Unter AD gibt es am wenigsten Schwierigkeiten betreffend Maschinenauthentifizierung!

Da müsste Milchkuh antworten, bin in die Sache momentan nicht involviert ;)

Das ist schon ok, milchkuh hat ursprünglich unter meinem Account gepostet. Sorry wegen der Verwirrung ;-)

Hallo,

ich habe einen Laptop mit einem Wirelessinterface und mit einer normalen RJ45 Anschlußmöglichkeit. Was passiert wenn ich beide Interfaces aktiv habe und mich damit im selben Netzwerk befinde. Sprich ich habe z.B. Wireless die IP 1.1.1.1 und Wired die IP 1.1.1.2

Schalte ich hierbei keinen Loop? Welches Interface nimmt er für Verbindungen her (das schnellere, beide)? Können Probleme auftreten?

Zusatzfrage: Wenn ich mit beiden Interfaces in verschiedenen Netzen bin - routet dann der PC zwischen den Netzen?

Hallo Experten,

ist es möglich per EAP-TLS einen Computer zu authentifizieren und nicht

den Benutzer der darauf arbeitet? Ich habe folgende Konstellation:

XP Wireless User, Cisco Radius Server mit Active Directory Anbindung,

Cisco Accesspoint´s und eine MS Standalone Zertifizierungsstelle die mir

Zertifikate ausstellt.

Nun möchte ich den Wirelesszugang mit 802.1x per EAP-TLS absichern,

allerdings sollen in Einzelfällen nicht die User durch Benutzerzertifikate,

sondern die Maschine selbst, also der Computer authentifiziert werden

egal welcher User momentan angemeldet ist.

Ich habe schon lokale Computerzertifikate auf dem Client angelegt, und

das Häkchen "als Computer authentifizieren, wenn Computer

Informationen verfügbar sind" in den Wirelesseigenschaften gesetzt.

So müsste ich doch eigentlich einen connect bekommen, oder?

Der Authentifizierungsvorgang mit Benutzerzertifikaten

funktioniert reibungslos.

Genau dies Frage ich mich auch... Gibt´s denn hier niemand der das wissen könnte?

Allerdings weißt du, dass du da (ich nehme an, du willst auf 802.1x hinaus) auch einen IAS brauchst, der braucht auch ein Zertifikat? Und der Access Point muss das unterstützn.

Richtig, 802.1x. EAP-TLS läuft derzeit wunderbar mit der Kombination Cisco Accesspoint, Cisco ACS Server (auch ein Radiusserver wie IAS) und Benutzerzertifikaten sowie Serverzertifkat auf dem ACS Server.

Nun soll sich jedoch nicht der Benutzer am Netzwerk anmelden, sondern die Maschine. Und wie ich so ein Maschinenzertifikat anfordern/erstellen kann ist mir noch ein Rätsel...

Hallo Experten,

ich plane diverse Wireless Clients an denen mehrere Benutzer arbeiten per EAP-TLS also Serverseitig und Clientseitig per Zertifikate zu authentifizieren. Da an dem Rechner mehrere Benutzer arbeiten macht ein Maschinenzertifikat eher Sinn als ein normales Benutzerzertifikat.

Meine Frage jedoch ist, wie kann ich solch ein Maschinenzertifikat anfordern? Ich habe bisher nichts dergleichen bei meinem Zertifikatsserver finden können.

Zusatzfrage, ist es auch möglich Maschinen/Benutzer Zertifikate per AD oder anderen Userdatenbanken auszurollen?

Wo wird eigentlich das Benutzerzertifikat abgespeichert? Im Profil des Benutzers? Oder lokal auf der Maschine. Oder kann ich das evtl. auch in AD einstellen? Wenn das Zertifikat im Profil liegen würde, könnte ich mich ja von jedem Rechner aus anmelden, egal ob da schon ein Benutzerzertifikat von mir liegt oder nicht, und ich hätte immer mein Benutzerzertifikat. Sehe ich das richtig?

Hi

Werde ich checken

Danke

Hi

script läuft keins ab

Die Anmeldung sieht so aus, als ob er vom WINS Server die DC für diese Domäne mit dem NetBios Suffix <1C> bekommt. Unter 1C werden die DC geliste. Ich kann aber in der WINS Datenbank keinen Eintrag dieser alten Server finden.

Gibt es villeicht sonst noch irgenwo eine Liste wo alle Domänencontroller gespeichert werden.

Gruß Markus

Hallo

Ich hab ein Problem mit ner NT 4 Domäne.

Im Moment gibt es in dieser Domäne einen PDC und einen BDC

vor ca. einem Jahr gab es noch zwei weitere BDC. Die beiden Server gibt es aber nicht mehr.

Jetzt zu meinem Problem:

Beim Capturen des Bootvorgang eines Clients fiel mir folgendes auf:

Es werden die beiden BDCs ( die es nicht mehr gibt) als Domäncontroller zum Anmelden bekannt gegeben. Die IP Adresse der beiden alten Server wurden mittlerweile für andere Server vergeben. Die neuen Server werden jetzt natürlich mit Anmelde Versuchen bombadiert.

Wie kann ich verhindern das die alten Domäncontroller nicht mehr als DC zum Anmelden bekanntgegeben werden.

Gruß Markus

Hallo,

gibt es Erfahrungswerte wie groß die Bandbreitenauslastung zwischen zwei ACS Servern ist, die sich replizieren? Die Config des ACS ist ja nicht sehr groß, aber mich würde es interessieren, wie es bei einer großen Usermenge ausschaut.

Hallo nasham,

ich habe heute eine NT4 Domänen Controller aufgesetzt, und versucht ihn mit dem ACS Server zu koppeln. Leider klappt die Kopplung noch nicht so wie es soll. Gibt es den keine Anleitung wie man bei der Kopplung vorgehen muss? Für andere Datenbanken wie LDAP AD etc. bin ich schon fündig geworden, aber nicht bei einer NT4 Datenbank.

Stellt die Anbindung einer NT4 Domäne an den ACS eine große Schwierigkeit dar? Bisher habe ich nur einen Active Directory Server an den ACS angebunden, und das ist ja schon eine ganz schöne Prozedur.

Gibt es für die NT Anbinung evtl. eine Art Schritt für Schritt Anbindung? Ich habe auf der Cisco Seite vergeblich gesucht.

Hallo Windows Experten,

könnt Ihr mir sagen, ob Windows (XP/2000) das Authentifizierungsprotokoll EAP-GTC (Generic Token Card) unterstützt?

Oder ist es prinzipiell möglich, mit Windows "Bordmitteln" eine Userauthentifizierung mittels Token Card also OneTimePasswörtern durchzuführen?

Hallo allerseits,

ist es möglich eine User Authentifizierung mithilfe von EAP-TLS mithilfe eines Cisco ACS Radius Servers durchzuführen der an eine Novell NDS Datenbank gekoppelt ist? Selbiges ist ja mit Active Directory kein Problem. Allerdings habe ich jetzt widersprüchliches gehört mit NDS... :-/

Hat schon mal jemand auf einem Cisco Access Point dynamische VLAN Zuweisung programmiert? Ich versuche momentan im Labor eine Userauthentifizierung über einen ACS Server herzustellen was auch funktioniert. Allerdings scheitere ich an der dynamischen VLAN zuweisung, je nachdem wie ich sich der User authentifiziert.

Was mir ein wenig Kopfzerbrechen verursacht ist die Tatsache, das ich pro SSID nur ein VLAN zuweisen kann. Stimmt das, oder gibt es eine Möglichkeit mehrere VLAN´s bei einer SSID zu definieren? Weil bei einer dynamischen VLAN zuordnung müsste dann ja auch die SSID dynamisch zugeordnet werden!?

Vielen Dank im vorraus

Welche speziellen Einstellungen muss ich auf einem 1200er Cisco Access Point tätigen, damit die 802.1x Authentifizierung in Verbindung mit einem ACS Radius Server funktioniert?

Vielen Dank im vorraus :-)

Hallo allerseits,

eine kleine Frage, läuft der Cisco ACS Server auch auf Linux, bzw. gibt es eine Linuxversion?

Gruss Sunny

Hallo Experten,

ich habe eine Frage zu Cisco Secure ACS. Momentan habe ich einen Laboraufbau mit einem Cisco Switch (AAA-Client), einem ACS-Server und einem Client.

Die Verbindung zwischen den zwei Geräten habe ich mit Tacacs+ hergestellt. Momentan funktioniert es schon soweit das wenn ich mich per Console auf den AAA-Client einloggen will die Benutzerkennungen die in der ACS Datenbank liegen verwenden muss. Die Verbindung zwischen AAA-Client und ACS Server per Tacacs+ steht also.

Letztendlich möchte ich es aber so konfiguriert haben, das wenn ein normaler Bürouser ins Netzwerk möchte, das er sich erst über ACS identifizieren muss und dann Zugriff bekommt. Ansonsten soll er z.B. nur als Gast des Netzwerk´s das Internet nutzen können. Ist das mit ACS so überhaupt möglich? Wenn ja würde ich mich über Tipps freuen :)

Hallo allerseits,

ich habe ein Problem mit der Verbindung zwischen einem ACS Server und einem AAA-Client (Catalyst 2950).

Auf dem Server habe ich den AAA-Client eingetragen. IP Addresse, Key und als Authentifizierungsmethode TACACS+.

Was für Variablen muss ich auf dem Cisco Switch eingeben, damit die TACACS+ Verbindung korrekt zustande kommt?